研究发现一种新的隐形JavaScript加载器利用恶意软件去感染计算机

研究发现攻击者使用了一种以前未记录的JavaScript恶意软件,该恶意软件作为加载程序分发一系列远程访问特洛伊木马(RAT)和信息窃取程序。

惠普威胁研究公司将这种新型的免杀加载器称为“RATDispenser”,该恶意软件负责在2021年部署至少8个不同的恶意软件系列。已经发现了大约155个这种新恶意软件的样本,分布在三个不同的变种中,这说明该恶意加载器正在被积极开发中。

“RATDispenser用于在启动二级恶意软件之前获得系统的初始立足点,从而建立对目标设备的控制连接。” 安全研究员 Patrick Schläpfer 说:“所有 payload 都是 潜藏在的老鼠,旨在窃取信息并让攻击者控制受害者设备。”

与其他此类攻击一样,感染的起点是包含恶意附件的网络钓鱼电子邮件,该附件伪装成文本文件,但实际上是经过混淆的 JavaScript 代码,用于编写和执行 VBScript 文件,反过来, 在受感染的机器上下载最后阶段的恶意软件负载。

研究发现一种新的隐形JavaScript加载器利用恶意软件去感染计算机

已经观察到 RATDispenser 丢弃了不同类型的恶意软件,包括STRRAT、WSHRAT(又名 Houdini 或 Hworm)、AdWind(又名 AlienSpy 或 Sockrat)、Formbook(又名 xLoader)、Remcos(又名 Socmer)、Panda Stealer、CloudEyE(又名 GuLoader)、和Ratty,除了针对加密货币钱包之外,每个都安装了从受感染设备中提取敏感数据的后门。

Schläpfer 说:“恶意软件具有多样性,许多恶意软件可以从地下市场免费购买或下载,这也导致恶意软件运营商倾向于放弃直接售卖一些 payload,所以 RATDispenser 的作者可能是在恶意软件即服务的商业模式下运营的”。 

 

[参考]

https://thehackernews.com/2021/11/this-new-stealthy-javascript-loader.html

原创文章,作者:CNCSO,如若转载,请注明出处:https://cncso.com/intelligence/775.html

(0)
上一篇 2021年11月25日 上午1:15
下一篇 2021年11月27日 下午4:09

相关推荐